基于模式选择的移动边缘安全服务方法及系统转让专利
申请号 : CN202010419782.8
文献号 : CN111614657B
文献日 : 2021-06-04
发明人 : 崔琪楣 , 黄昌正 , 陶小峰 , 张平
申请人 : 北京邮电大学
摘要 :
权利要求 :
1.一种基于模式选择的移动边缘安全服务系统,其特征在于,所述系统包括:操作支持平台,移动边缘编排器,移动边缘主机,所述移动边缘主机包括多个移动边缘应用;
所述操作支持平台,用于获取移动边缘用户端的应用接入请求,所述应用接入请求包括待计算任务的服务模式、待计算任务所需移动边缘应用的安全等级以及待计算任务所需的计算资源;对所述应用接入请求进行安全检测,并将所述待计算任务的服务模式、所述待计算任务所需移动边缘应用的安全等级以及所述待计算任务所需的计算资源转发至所述移动边缘编排器;
所述移动边缘编排器,用于接收所述操作支持平台转发的所述待计算任务的服务模式、所述待计算任务所需移动边缘应用的安全等级以及所述待计算任务所需的计算资源,根据所述待计算任务的服务模式、所述待计算任务所需移动边缘应用的安全等级以及所述待计算任务所需的计算资源,确定处理所述待计算任务的目标移动边缘应用;
所述操作支持平台,还用于当所述应用接入请求通过安全检测时,获取所述移动边缘用户端发送的待计算任务信息,所述待计算任务信息包括多个子任务;并将所述待计算任务信息转发至所述移动边缘编排器;
所述移动边缘编排器,还用于根据所述待计算任务信息和所述目标移动边缘应用对应的移动边缘主机正在处理的计算任务的数量,调度目标移动边缘应用来处理各所述子任务,以使各所述移动边缘主机处理的计算任务均衡;
所述移动边缘应用,用于响应于所述移动边缘编排器的调度,处理接收到的子任务;
当所述待计算任务的服务模式为性能优先模式时,所述移动边缘编排器具体用于:根据所述待计算任务所需的计算资源和各所述移动边缘主机的剩余计算资源,根据各所述移动边缘主机与所述移动边缘用户端的距离,按照各所述距离从近到远的顺序,依次从各所述移动边缘主机中选择目标移动边缘主机,其中,各个所述目标移动边缘主机的剩余计算资源的总和不小于所述待计算任务所需的计算资源的(1+β)倍,其中β为预设值;
从所述目标移动边缘主机中选出安全等级不小于所述待计算任务所需移动边缘应用的安全等级的待选择移动边缘应用;
按照安全等级从高到低的顺序,从所述待选择移动边缘应用中依次选择移动边缘应用,直至选取的各移动边缘应用的计算资源的总和不小于所述待计算任务所需的计算资源,将选取的各移动边缘应用作为目标移动边缘应用;
当所述待计算任务的服务模式为安全优先模式时,所述移动边缘编排器具体用于:从各所述移动边缘主机中选出安全等级不小于所述待计算任务所需移动边缘应用的安全等级的待选择移动边缘应用;
按照安全等级从高到低的顺序,从所述待选择移动边缘应用中依次选择移动边缘应用,直至选取的各移动边缘应用的计算资源的总和不小于所述待计算任务所需的计算资源,将选取的各移动边缘应用作为目标移动边缘应用。
2.根据权利要求1所述的系统,其特征在于,所述应用接入请求包括用户标识,所述操作支持平台具体用于:
根据所述用户标识,判断用户是否在预设黑产用户数据库中;
当所述用户在预设黑产用户数据库中时,判定所述应用接入请求不通过安全检测;
当所述用户不在预设黑产用户数据库中时,判定所述应用接入请求通过安全检测。
3.根据权利要求2所述的系统,其特征在于,所述操作支持平台还用于:根据预设第一时间周期,从所述移动边缘用户端获取各用户的计算任务信息;
对所述计算任务信息进行特征提取,得到计算任务特征;
将所述计算任务特征与预设第一行为特征进行匹配,识别出可疑计算任务,将可疑计算任务的所属的用户标记为可疑用户;
对所述可疑用户的计算任务进行监测,在预设第二时间周期内,若所述可疑用户的计算任务包括预设攻击任务,将所述可疑用户确定为黑产用户;
将所述黑产用户的用户标识存储在所述预设黑产用户数据库中。
4.根据权利要求3所述的系统,其特征在于,所述操作支持平台还用于:将所述黑产用户的用户标识发送至所述移动边缘编排器,以使所述移动边缘编排器根据所述黑产用户的用户标识,停止调度处理目标移动边缘应用以处理所述黑产用户的待计算任务。
5.根据权利要求3所述的系统,其特征在于,所述操作支持平台还用于:在所述预设第二时间周期内,若所述可疑用户的待计算任务不包括攻击任务时,将所述可疑用户标记为正常用户。
6.根据权利要求1所述的系统,其特征在于,所述移动边缘编排器还用于:在预设第三时间周期内,从所述操作支持平台获取待计算任务信息;在各所述待计算任务信息的数据段中填充指定数量的校验数据,得到目标数据;将目标数据分配至各所述移动边缘主机的各个移动边缘应用,以使各移动边缘应用对所述目标数据进行处理,得到处理后的数据;
所述系统还包括:移动边缘管理器;
所述移动边缘管理器,用于获取各个移动边缘应用返回的处理后的数据,并提取所述处理后的数据中的校验数据;判断各个所述处理后的数据中的校验数据是否相同,若超过半数的处理后的数据中的校验数据相同,则确定超过半数的处理后的数据中的校验数据为真实数据,其他不同的处理后的数据中的校验数据为不真实数据;并将不真实数据对应的移动边缘应用的信息发送至所述移动边缘编排器,其中,若所述处理后的数据中的校验数据之间数据相异位数在预设位数阈值内,则确定处理后的数据中的校验数据相同;
所述移动边缘编排器,还用于接收到所述移动边缘管理器发送的不真实数据对应的移动边缘应用的信息,并将不真实数据对应的移动边缘应用的信任值降低预设信任值;
其中,所述移动边缘应用的安全等级是预设更新周期范围内,根据所述移动边缘应用成功服务次数,所述移动边缘应用接收的服务请求总次数,所述边缘应用的信任值计算得到的;
所述安全等级表示为:
其中,SL(tl,sr)表示移动边缘应用的安全等级,tl表示记录所述移动边缘应用信任值的信任列表,sr表示所述移动边缘应用的服务记录,a表示所述移动边缘应用的信任值,设定更新周期Tupdate,SuccessServelNum表示Tupdate内所述移动边缘应用的成功服务次数,TotalQuestNum表示Tupdate内移动边缘应用接收的服务请求次数;
所述信任列表和所述服务记录存储在所述移动边缘编排器中。
7.根据权利要求6所述的系统,其特征在于,所述移动边缘编排器存储有各移动边缘应用的计算任务次数,所述移动边缘管理器还用于:每隔预设第四时间周期,从所述移动边缘编排器获取各移动边缘应用的调度信息;
将安全等级低于预设安全等级阈值的移动边缘应用删除。
8.一种基于模式选择的移动边缘安全服务方法,其特征在于,应用于基于模式选择的移动边缘安全服务系统,所述基于模式选择的移动边缘安全服务系统包括:操作支持平台,移动边缘编排器,移动边缘主机,所述移动边缘主机包括多个移动边缘应用,所述方法包括:
所述操作支持平台获取移动边缘用户端的应用接入请求,所述应用接入请求包括待计算任务的服务模式、待计算任务所需移动边缘应用的安全等级以及待计算任务所需的计算资源;对所述应用接入请求进行安全检测,并将所述待计算任务的服务模式、所述待计算任务所需移动边缘应用的安全等级以及所述待计算任务所需的计算资源转发至所述移动边缘编排器;
所述移动边缘编排器接收所述操作支持平台转发的所述待计算任务的服务模式、所述待计算任务所需移动边缘应用的安全等级以及所述待计算任务所需的计算资源,根据所述待计算任务的服务模式、所述待计算任务所需移动边缘应用的安全等级以及所述待计算任务所需的计算资源,确定处理所述待计算任务的目标移动边缘应用;
当所述应用接入请求通过安全检测时,所述操作支持平台获取所述移动边缘用户端发送的待计算任务信息,所述待计算任务信息包括多个子任务;并将所述待计算任务信息转发至所述移动边缘编排器;
所述移动边缘编排器根据所述待计算任务信息和所述目标移动边缘应用对应的移动边缘主机正在处理的计算任务的数量,调度目标移动边缘应用来处理各所述子任务,以使各所述移动边缘主机处理的计算任务均衡;
所述移动边缘应用响应于所述移动边缘编排器的调度,处理接收到的子任务;
所述根据所述待计算任务的服务模式、所述待计算任务所需移动边缘应用的安全等级以及所述待计算任务所需的计算资源,确定处理所述待计算任务的目标移动边缘应用,包括:
当所述待计算任务的服务模式为性能优先模式时,根据所述待计算任务所需的计算资源和各所述移动边缘主机的剩余计算资源,根据各所述移动边缘主机与所述移动边缘用户端的距离,按照各所述距离从近到远的顺序,依次从各所述移动边缘主机中选择目标移动边缘主机,其中,各个所述目标移动边缘主机的剩余计算资源的总和不小于所述待计算任务所需的计算资源的(1+β)倍,其中β为预设值;
从所述目标移动边缘主机中选出安全等级不小于所述待计算任务所需移动边缘应用的安全等级的待选择移动边缘应用;
按照安全等级从高到低的顺序,从所述待选择移动边缘应用中依次选择移动边缘应用,直至选取的各移动边缘应用的计算资源的总和不小于所述待计算任务所需的计算资源,将选取的各移动边缘应用作为目标移动边缘应用;
当所述待计算任务的服务模式为安全优先模式时,从各所述移动边缘主机中选出安全等级不小于所述待计算任务所需移动边缘应用的安全等级的待选择移动边缘应用;
按照安全等级从高到低的顺序,从所述待选择移动边缘应用中依次选择移动边缘应用,直至选取的各移动边缘应用的计算资源的总和不小于所述待计算任务所需的计算资源,将选取的各移动边缘应用作为目标移动边缘应用。
说明书 :
基于模式选择的移动边缘安全服务方法及系统
技术领域
背景技术
Institute,欧洲标准化组织)称之为MEC(Mobile Edge Computing,移动边缘计算)服务。随
着5G(5th generation mobile networks,第五代移动通信网络)的加速推进,MEC服务将逐
渐得到普及并大量存在于5G网络边缘。但是,由于移动边缘系统的防御硬件资源有限,来自
5G大规模移动设备的DDoS(Distribution Denial of service,分布式拒绝服务)攻击,对
于MEC服务而言是不可避免的威胁。
用带来的数据篡改、隐私泄露、DDoS攻击、边缘数据中心控制劫持等攻击以及其他未知的安
全威胁,并保证各类移动边缘应用的负载均衡。
发明内容
所需的计算资源;对所述应用接入请求进行安全检测,并将所述待计算任务的服务模式、所
述待计算任务所需移动边缘应用的安全等级以及所述待计算任务所需的计算资源转发至
所述移动边缘编排器;
源,根据所述待计算任务的服务模式、所述待计算任务所需移动边缘应用的安全等级以及
所述待计算任务所需的计算资源,确定处理所述待计算任务的目标移动边缘应用;
算任务信息转发至所述移动边缘编排器;
任务,以使各所述移动边缘主机处理的计算任务均衡;
依次从各所述移动边缘主机中选择目标移动边缘主机,其中,各个所述目标移动边缘主机
的剩余计算资源的总和不小于所述待计算任务所需的计算资源的(1+β)倍,其中β为预设
值;
源,将选取的各移动边缘应用作为目标移动边缘应用。
源,将选取的各移动边缘应用作为目标移动边缘应用。
待计算任务。
得到目标数据;将目标数据分配至各所述移动边缘主机的各个移动边缘应用,以使各移动
边缘应用对所述目标数据进行处理,得到处理后的数据;
超过半数的处理后的数据中的校验数据相同,则确定超过半数的处理后的数据中的校验数
据为真实数据,其他不同的处理后的数据中的校验数据为不真实数据;并将不真实数据对
应的移动边缘应用的信息发送至所述移动边缘编排器,其中,若所述处理后的数据中的校
验数据之间数据相异位数在预设位数阈值内,则确定处理后的数据中的校验数据相同;
算得到的;
值,设定更新周期Tupdate,SuccessServelNum表示Tupdate内所述移动边缘应用的成功服务次
数,TotalQuestNum表示Tupdate内移动边缘应用接收的服务请求次数;
包括:操作支持平台,移动边缘编排器,移动边缘主机,所述移动边缘主机包括多个移动边
缘应用,所述方法包括:
计算资源;对所述应用接入请求进行安全检测,并将所述待计算任务的服务模式、所述待计
算任务所需移动边缘应用的安全等级以及所述待计算任务所需的计算资源转发至所述移
动边缘编排器;
所述待计算任务的服务模式、所述待计算任务所需移动边缘应用的安全等级以及所述待计
算任务所需的计算资源,确定处理所述待计算任务的目标移动边缘应用;
息转发至所述移动边缘编排器;
以使各所述移动边缘主机处理的计算任务均衡;
服务模式、待计算任务所需移动边缘应用的安全等级以及待计算任务所需的计算资源转发
至移动边缘编排器;移动边缘编排器接收操作支持平台转发的待计算任务的服务模式、待
计算任务所需移动边缘应用的安全等级以及待计算任务所需的计算资源后,根据待计算任
务的服务模式、待计算任务所需移动边缘应用的安全等级以及待计算任务所需的计算资
源,确定处理待计算任务的目标移动边缘应用,当应用接入请求通过安全检测时,操作支持
平台获取移动边缘用户端发送的待计算任务信息,并将待计算任务信息转发至移动边缘编
排器;移动边缘编排器用于根据待计算任务信息和目标移动边缘应用对应的移动边缘主机
正在处理的计算任务的数量,来调度目标移动边缘应用来处理各子任务,以使各移动边缘
主机处理的计算任务均衡,通过综合考虑移动边缘应用的安全等级以及各个移动边缘主机
间的负载均衡,在提高移动边缘系统整体安全性的同时,可以满足用户差异化的服务需求。
当然,实施本申请的任一产品或方法并不一定需要同时达到以上所述的所有优点。
附图说明
申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以
根据这些附图获得其他的附图。
具体实施方式
本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他
实施例,都属于本申请保护的范围。
算任务所需的计算资源;对上述应用接入请求进行安全检测,并将上述待计算任务的服务
模式、上述待计算任务所需移动边缘应用1301的安全等级以及上述待计算任务所需的计算
资源转发至上述移动边缘编排器120;
的计算资源,根据上述待计算任务的服务模式、上述待计算任务所需移动边缘应用1301的
安全等级以及上述待计算任务所需的计算资源,确定处理上述待计算任务的目标移动边缘
应用;
计算任务信息转发至上述移动边缘编排器120;
各上述子任务,以使各上述移动边缘主机130处理的计算任务均衡;
管理、编排VNF(Virtualized Network Function,虚拟化网络功能)的开源平台,包括
OpenSDNCore、HP OpenNFV、Open Baton NFVO、Taker。
切使用移动边缘服务的终端设备,可用于智慧城市、户外直播、车联网等服务。根据实际需
要,基于模式选择的移动边缘安全服务系统可以包括区域子系统,其中每个区域子系统均
包括移动边缘编排器120,移动边缘主机130,移动边缘编排器120可以维护和管理一个区域
子系统内的移动边缘主机130。移动边缘主机130是指用于提供计算存储能力的设备。移动
边缘应用1301部署在移动边缘主机130中,用于提供移动边缘服务。
其中,应用接入请求包括待计算任务的服务模式、待计算任务所需移动边缘应用1301的安
全等级以及待计算任务所需的计算资源;操作支持平台110对应用接入请求进行安全检测,
并将待计算任务的服务模式、待计算任务所需移动边缘应用1301的安全等级以及待计算任
务所需的计算资源转发至移动边缘编排器120。
预设黑产用户数据库中;当用户在预设黑产用户数据库中时,则说明用户为黑产用户,即判
定应用接入请求不通过安全检测;当用户不在预设黑产用户数据库中时,可判定应用接入
请求通过安全检测。
则判定应用接入请求不完整,操作支持平台110拒绝移动边缘用户端的应用接入请求。更进
一步的,操作支持平台110向移动边缘用户端返回错误信息,其中,错误信息中具体可以包
括应用接入请求缺失的信息。当判断移动边缘用户端的应用接入请求数据段的完整时,根
据上述用户标识,判断用户是否在预设黑产用户数据库中,当上述用户不在预设黑产用户
数据库中时,判定上述应用接入请求通过安全检测,同意上述移动边缘用户端的应用接入
请求。
判断用户标识是否在上述预设标识数据库中,若在,则说明用户不是首次向操作支持平台
110发送应用接入请求,如果不在,则判断用户首次向操作支持平台110发送应用接入请求,
当用户首次向操作支持平台110发送应用接入请求时,操作支持平台110可对用户进行认
证,其中认证方法可以参看现有/相关方案中认证方法,当认证成功后,将用户的用户标识
保存至上述预设标识数据库中。
以及完成计算任务的实际计算资源,操作支持平台110对上述应用接入请求进行安全检测,
包括:
用接入请求通过安全检测;当不合理时,判定上述应用接入请求不通过安全检测。
阈值,当超过预设第一资源阈值时,判定所需的计算资源不合理,当未超过预设第一资源阈
值时,判定所需的计算资源合理。
包括预设攻击任务,将上述可疑用户确定为黑产用户;将上述黑产用户的用户标识存储在
上述预设黑产用户数据库中。
用1301的安全等级以及待计算任务所需的计算资源,根据待计算任务的服务模式、待计算
任务所需移动边缘应用1301的安全等级以及待计算任务所需的计算资源,确定处理待计算
任务的目标移动边缘应用。无论操作支持平台110对应用接入请求的安全检测结果如何,操
作支持平台110均会将待计算任务的服务模式、待计算任务所需移动边缘应用1301的安全
等级以及待计算任务所需的计算资源转发至移动边缘编排器120,无论操作支持平台110对
应用接入请求的安全检测结果如何,移动边缘编排器120接收操作支持平台110转发的待计
算任务的服务模式、待计算任务所需移动边缘应用1301的安全等级以及待计算任务所需的
计算资源,根据待计算任务的服务模式、待计算任务所需移动边缘应用1301的安全等级以
及待计算任务所需的计算资源,确定处理待计算任务的目标移动边缘应用,如此,在操作支
持平台110对应用接入请求进行安全检测的同时,移动边缘编排器120可确定处理待计算任
务的目标移动边缘应用。以此可节约处理计算任务整体的处理时间,达到时延优化的目的。
子任务,则移动边缘编排器120根据待计算任务信息和目标移动边缘应用对应的移动边缘
主机130正在处理的计算任务的数量,调度目标移动边缘应用来处理各子任务,以使各移动
边缘主机130处理的计算任务均衡,移动边缘应用1301响应于移动边缘编排器120的调度,
进而处理接收到的子任务。通过考虑各个移动边缘主机130处理计算任务的数量,调度目标
移动边缘应用来处理各子任务,以使各移动边缘主机130处理的计算任务均衡。
算任务所需的计算资源转发至移动边缘编排器;移动边缘编排器接收操作支持平台转发的
待计算任务的服务模式、待计算任务所需移动边缘应用的安全等级以及待计算任务所需的
计算资源后,根据待计算任务的服务模式、待计算任务所需移动边缘应用的安全等级以及
待计算任务所需的计算资源,确定处理待计算任务的目标移动边缘应用,当应用接入请求
通过安全检测时,操作支持平台获取移动边缘用户端发送的待计算任务信息,并将待计算
任务信息转发至移动边缘编排器;移动边缘编排器用于根据待计算任务信息和目标移动边
缘应用对应的移动边缘主机正在处理的计算任务的数量,来调度目标移动边缘应用来处理
各子任务,以使各移动边缘主机处理的计算任务均衡,通过综合考虑移动边缘应用的安全
等级以及各个移动边缘主机间的负载均衡,在提高移动边缘系统整体安全性的同时,可以
满足用户差异化的服务需求。
的顺序,依次从各上述移动边缘主机130中选择目标移动边缘主机130,其中,各个上述目标
移动边缘主机130的剩余计算资源的总和不小于上述待计算任务所需的计算资源的(1+β)
倍,其中β为预设值;
所需的计算资源,将选取的各移动边缘应用1301作为目标移动边缘应用。
主机130与移动边缘用户端的距离,按照各距离从近到远的顺序,依次从各移动边缘主机
130中选择目标移动边缘主机130,其中,各个目标移动边缘主机130的剩余计算资源的总和
不小于待计算任务所需的计算资源的(1+β)倍。从目标移动边缘主机130中选出安全等级不
小于待计算任务所需移动边缘应用1301的安全等级的待选择移动边缘应用1301;按照安全
等级从高到低的顺序,从待选择移动边缘应用1301中依次选择移动边缘应用1301,直至选
取的各移动边缘应用1301的计算资源的总和不小于待计算任务所需的计算资源,将选取的
各移动边缘应用1301作为目标移动边缘应用。
确调度目标移动边缘应用,β也可以是经过动态调整获得的;例如,获取历史记录中待计算
任务所需的计算资源,移动边缘编排器120根据待计算任务所需的计算资源和各移动边缘
主机130的剩余计算资源,根据各移动边缘主机130与移动边缘用户端的距离,按照各距离
从近到远的顺序,依次从各移动边缘主机130中选择目标移动边缘主机130,各个目标移动
边缘主机130的剩余计算资源的总和,以及按照安全等级从高到低的顺序,从待选择移动边
缘应用1301中依次选择移动边缘应用1301,直至选取的各移动边缘应用1301的计算资源的
总和不小于待计算任务所需的计算资源,根据历史记录中待计算任务所需的计算资源,各
个目标移动边缘主机130的剩余计算资源的总和,最终选取的各移动边缘应用1301的计算
资源的总和,训练得到β。具体训练得到β的算法可以为任意强化学习算法,也可以为信息素
函数,具体的,信息素函数由移动边缘用户端与移动边缘主机130距离和传输带宽构成的蚁
群算法。
与上述移动边缘用户端的距离,按照从近到远的顺序进行排序,分别为,移动边缘主机
1301,移动边缘主机1302,移动边缘主机1303,移动边缘主机1304,移动边缘主机1305,其
中,待计算任务所需的计算资源为Crequired,若移动边缘主机1301的剩余计算资源大于
Crequired的(1+β)倍,则移动边缘主机1301即作为目标移动边缘主机130,若移动边缘主机
1301的剩余计算资源不大于Crequired的(1+β)倍,则选择移动边缘主机1301后,现在移动边缘
主机1302,各个上述目标移动边缘主机130的剩余计算资源的总和不小于上述待计算任务
所需的计算资源的(1+β)倍。
以节约整个计算任务的处理时间,从而达到时延优化的目的。
域集群。
远的顺序,依次从各上述移动边缘主机区域集群中选择目标移动边缘主机。
所需的计算资源,将选取的各移动边缘应用1301作为目标移动边缘应用。
照安全等级从高到低的顺序,从待选择移动边缘应用1301中依次选择移动边缘应用1301,
直至选取的各移动边缘应用1301的计算资源的总和不小于待计算任务所需的计算资源,将
选取的各移动边缘应用1301作为目标移动边缘应用。
动边缘编排器120上述待计算任务所需移动边缘应用1301的安全等级以及上述待计算任务
所需的计算资源,按照安全等级从高到低的顺序,从上述待选择移动边缘应用1301中依次
选择移动边缘应用1301,直至选取的各移动边缘应用1301的计算资源的总和不小于上述待
计算任务所需的计算资源,将选取的各移动边缘应用1301作为目标移动边缘应用。
务信息进行特征提取,得到计算任务特征,将计算任务特征与预设第一行为特征进行匹配,
从而识别出可疑计算任务,将可疑计算任务的所属的用户标记为可疑用户,进而对可疑用
户的计算任务进行监测,在预设第二时间周期内,若可疑用户的计算任务包括预设攻击任
务,将可疑用户确定为黑产用户;将黑产用户的用户标识存储在预设黑产用户数据库中。例
如,将可疑计算任务的所属的用户标记为可疑用户后,若5天内可疑用户的计算任务包括预
设攻击任务,将可疑用户确定为黑产用户。
黑产用户的应用接入请求,从而提高系统的安全性。
产用户的待计算任务。
应用以处理黑产用户的待计算任务,从而提高系统的安全性。
行监测,减少对正常用户的计算任务进行监测,提高工作效率。
充指定数量的校验数据,得到目标数据;将目标数据分配至各上述移动边缘主机130的各个
移动边缘应用1301,以使各移动边缘应用1301对上述目标数据进行处理,得到处理后的数
据;
同,若超过半数的处理后的数据中的校验数据相同,则确定超过半数的处理后的数据中的
校验数据为真实数据,其他不同的处理后的数据中的校验数据为不真实数据;并将不真实
数据对应的移动边缘应用1301的信息发送至上述移动边缘编排器120,其中,若处理后的数
据中的校验数据之间数据相异位数在预设位数阈值内,则确定处理后的数据中的校验数据
相同;
预设信任值;
用的信任值计算得到的;
应用1301的信任值,设定更新周期Tupdate,SuccessServelNum表示Tupdate内上述移动边缘应
用1301的成功服务次数,TotalQuestNum表示Tupdate内移动边缘应用1301接收的服务请求次
数;
动边缘编排器120存储有信任列表和服务记录,其中服务记录中包括,移动边缘应用1301接
收的服务请求次数和移动边缘应用1301的成功服务次数。
应用1301的信任值,设定更新周期Tupdate,SuccessServelNum表示Tupdate内上述移动边缘应
用1301的成功服务次数,TotalQuestNum表示Tupdate内移动边缘应用1301接收的服务请求次
数。
务信息的数据段中填充指定数量的校验数据,得到目标数据,然后将目标数据分配至各移
动边缘主机130的各个移动边缘应用1301,以使各移动边缘应用1301对目标数据进行处理,
得到处理后的数据。移动边缘管理器获取各个移动边缘应用1301返回的处理后的数据,并
提取处理后的数据中的校验数据,对各个处理后的数据中的校验数据进行多模裁决,即,判
断各个处理后的数据中的校验数据是否相同,若超过半数的处理后的数据中的校验数据相
同,则确定超过半数的处理后的数据中的校验数据为真实数据,其他不同的处理后的数据
中的校验数据为不真实数据,并将不真实数据对应的移动边缘应用1301的信息发送至移动
边缘编排器120。其中,若处理后的数据中的校验数据之间数据相异位数在预设位数阈值
内,则确定处理后的数据中的校验数据相同。移动边缘编排器120将不真实数据对应的移动
边缘应用1301的信任值降低预设信任值。以此可以减少安全等级低的移动边缘应用,使黑
产用户需要通过变化输入激励和获取输出响应方式才能分析掌控移动边缘应用的漏洞,使
得移动边缘应用的漏洞变得难以探测,杜绝了数据篡改的可能性,模糊黑产用户进行隐私
窃取的指向性,使得劫持边缘数据中心的难度极大提高,实现移动边缘应用的动态更新,在
提高系统安全性的同时增强了移动边缘应用的动态性。更进一步的,上述移动边缘编排器、
移动边缘管理器、操作支持系统等可以是具体硬件,也可以是采用网络功能虚拟化技术的
VNF。
伪移动边缘管理器/移动边缘编排器攻击,以此由操作支持平台与移动边缘编排器交互过
程中,带来的安全隐患。
安全等级低的移动边缘应用,使黑产用户需要通过变化输入激励和获取输出响应方式才能
分析掌控移动边缘应用的漏洞,使得移动边缘应用的漏洞变得难以探测,杜绝了数据篡改
的可能性,模糊黑产用户进行隐私窃取的指向性,使得劫持边缘数据中心的难度极大提高,
实现移动边缘应用的动态更新,在提高系统安全性的同时增强了移动边缘应用的动态性。
网络功能虚拟化编排模块1202;移动边缘主机130还包括移动边缘平台1302、网络功能虚拟
化基础设施1303;移动边缘管理器140包括移动边缘平台管理模块1401、虚拟化基础设施管
理模块1402以及移动边缘生命周期管理模块1403。移动边缘编排器120通过移动边缘管理
器140维护和管理一个区域内的移动边缘主机130。
服务。
设施管理模块1402接收移动边缘应用的安全评估结果,并将结果上报至移动边缘编排器
120。移动边缘生命周期管理模块1403用于执行移动边缘应用的实例化及删除在预设第四
时间周期内,安全等级低于预设安全等级阈值的移动边缘应用1301。
从全局角度,根据诸如延迟、移动边缘应用安全等级等约束为待计算任务选择适当的移动
边缘主机。
用户是否在预设黑产用户数据库中,当上述用户在预设黑产用户数据库中时,判定上述应
用接入请求不通过安全检测,将所述黑产用户的用户标识存储在所述预设黑产用户数据库
中,并直接结束整个计算任务的流程;当上述用户不在预设黑产用户数据库中时,判定上述
应用接入请求通过安全检测。
不小于待计算任务所需移动边缘应用1301的安全等级的待选择移动边缘应用1301;按照安
全等级从高到低的顺序,从待选择移动边缘应用1301中依次选择移动边缘应用1301,直至
选取的各移动边缘应用1301的计算资源的总和不小于待计算任务所需的计算资源,将选取
的各移动边缘应用1301作为目标移动边缘应用。
动边缘主机130与移动边缘用户端的距离,按照各距离从近到远的顺序,依次从各移动边缘
主机130中选择目标移动边缘主机130,其中,各个目标移动边缘主机130的剩余计算资源的
总和不小于待计算任务所需的计算资源的(1+β)倍。网络功能虚拟化编排模块1202从目标
移动边缘主机130中选出安全等级不小于待计算任务所需移动边缘应用1301的安全等级的
待选择移动边缘应用1301;按照安全等级从高到低的顺序,从待选择移动边缘应用1301中
依次选择移动边缘应用1301,直至选取的各移动边缘应用1301的计算资源的总和不小于待
计算任务所需的计算资源,将选取的各移动边缘应用1301作为目标移动边缘应用。选择出
来的目标移动边缘应用响应于移动边缘编排器的调度,处理接收到的子任务,处理完成后,
结束流程。
级运营商机房,将移动边缘主机、移动边缘管理器集中部署在区县级以及更低位置的运营
商机房中以及接入网基站中,通过移动边缘编排器统一调度实现区域内的移动边缘主机的
编排,通过移动边缘管理器实现细粒度的移动边缘应用管理。
务需求的蜂窝基站或区县级的运营商机房中,根据移动边缘服务需求密度分布式地部署移
动边缘管理器,以此可应对不同区域差异化的服务需求密度,将需求较多区域内的移动边
缘主机面向第三方开放,区域内经过运营商认证后第三方提供的具有通信、计算、存储能力
的设备(例如手机、笔记本、平板电脑)可作为移动边缘主机运行,运营商记录服务信息,对
完成服务的第三方给予奖励,这样有效利用了区域内闲置的计算资源,缓解了服务需求密
集区域运营商的设备压力。可以有效解决DDoS攻击、隐私泄露等中国移动在建议移动边缘
部署时未考虑的安全威胁。
平台,移动边缘编排器,移动边缘主机,上述移动边缘主机包括多个移动边缘应用,参见图
5,图5为本申请实施例的基于模式选择的移动边缘安全服务方法的一种示意图,上述方法
包括:
务所需的计算资源;对上述应用接入请求进行安全检测,并将上述待计算任务的服务模式、
上述待计算任务所需移动边缘应用的安全等级以及上述待计算任务所需的计算资源转发
至上述移动边缘编排器;
资源,根据上述待计算任务的服务模式、上述待计算任务所需移动边缘应用的安全等级以
及上述待计算任务所需的计算资源,确定处理上述待计算任务的目标移动边缘应用;
算任务信息转发至上述移动边缘编排器;
子任务,以使各上述移动边缘主机处理的计算任务均衡;
任务所需移动边缘应用的安全等级以及上述待计算任务所需的计算资源,根据上述待计算
任务的服务模式、上述待计算任务所需移动边缘应用的安全等级以及上述待计算任务所需
的计算资源,确定处理上述待计算任务的目标移动边缘应用,包括:
的顺序,依次从各上述移动边缘主机中选择目标移动边缘主机,其中,各个上述目标移动边
缘主机的剩余计算资源的总和不小于上述待计算任务所需的计算资源的(1+β)倍,其中β为
预设值;
的计算资源,将选取的各移动边缘应用作为目标移动边缘应用。
任务所需移动边缘应用的安全等级以及上述待计算任务所需的计算资源,根据上述待计算
任务的服务模式、上述待计算任务所需移动边缘应用的安全等级以及上述待计算任务所需
的计算资源,确定处理上述待计算任务的目标移动边缘应用,包括:
源,将选取的各移动边缘应用作为目标移动边缘应用。
征与预设第一行为特征进行匹配,识别出可疑计算任务,将可疑计算任务的所属的用户标
记为可疑用户;对上述可疑用户的计算任务进行监测,在预设第二时间周期内,若上述可疑
用户的计算任务包括预设攻击任务,将上述可疑用户确定为黑产用户;将上述黑产用户的
用户标识存储在上述预设黑产用户数据库中。
理上述黑产用户的待计算任务。
目标数据分配至各上述移动边缘主机的各个移动边缘应用,以使各移动边缘应用对上述目
标数据进行处理,得到处理后的数据;
数的处理后的数据中的校验数据相同,则确定超过半数的处理后的数据中的校验数据为真
实数据,其他不同的处理后的数据中的校验数据为不真实数据;并将不真实数据对应的移
动边缘应用的信息发送至上述移动边缘编排器,其中,若处理后的数据中的校验数据之间
数据相异位数在预设位数阈值内,则确定处理后的数据中的校验数据相同;
算得到的;
值,设定更新周期Tupdate,SuccessServelNum表示Tupdate内上述移动边缘应用的成功服务次
数,TotalQuestNum表示Tupdate内移动边缘应用接收的服务请求次数;
产品包括一个或多个计算机指令。在计算机上加载和执行上述计算机程序指令时,全部或
部分地产生按照本发明实施例上述的流程或功能。上述计算机可以是通用计算机、专用计
算机、计算机网络、或者其他可编程装置。上述计算机指令可以存储在计算机可读存储介质
中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,上述计算机
指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字
用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或
数据中心进行传输。上述计算机可读存储介质可以是计算机能够存取的任何可用介质或者
是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。上述可用介质可以
是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘
Solid State Disk(SSD))等。
将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操
作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体
意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括
那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或
者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不
排除在包括上述要素的过程、方法、物品或者设备中还存在另外的相同要素。
电子设备及存储介质的实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,
相关之处参见方法实施例的部分说明即可。
内。